Champs personnalisés à enregistrements multiples Exemples d’alertes Splunk

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

1 minute de lecture

Lorsque vous créez plusieurs alertes Splunk d’enregistrement avec des champs personnalisés, vous devez définir des critères de recherche pour générer des données d’alerte. Des exemples de critères de recherche pour les incidents de sécurité et les événements de sécurité sont présentés.

Recherche d’incident de sécurité

Pour un incident de sécurité, ce critère génère une recherche pour remplir les colonnes de la table des incidents de sécurité.

host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval contact_type="Monitoring" |
eval cmdb_ci=host |
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ip

Recherche d’événement de sécurité

Pour un événement de sécurité, cette recherche est la même, mais elle remplit les champs Événement à la place. Si cet événement est transformé en incident de sécurité et que tous les champs qui n’existent pas dans l’événement sont renseignés, ils sont transférés à l’incident de sécurité. Sinon, ils restent dans le champ Informations supplémentaires de l’événement et de l’alerte.

host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval type="Monitoring" | 
eval node=host | 
eval source=source
eval subcategory="Sensitive Data Monitoring" | 
eval description=_raw | 
eval source_ip=found_ip

Remarque :

Les critères de recherche que vous utilisez ajouteront autant d’enregistrements que possible dans la recherche. Il peut ajouter 5 ou 10 000 000 000 d’enregistrements. Il ne s’agit donc PAS d’une méthode recommandée pour le transfert en masse de données. L’intention de cette méthode est d’ajouter un enregistrement par appel REST dans l’instance ServiceNow.